对佛罗里达州Covid举报人的突袭表明过度依赖IP地址的风险

2020-12-11 12:08:37

星期一,武装佛罗里达州警察突袭佛罗里达州塔拉哈西的数据科学家和COVID举报人Rebekah Jones,这在许多方面都令人震惊。此事件对某人进行报复,该人致力于向公众提供有关佛罗里达州和我们国家面临的最紧迫问题的真实信息:COVID-19的传播和影响。这是一种报复行为,它依赖于联邦国防军花了几十年的时间来解决的两个破碎的系统:首先,我们的计算机犯罪法律编写得很差,没有得到广泛的解释,以至于对警察,检察和司法资源的粗暴滥用。其次,警察继续高估IP地址的可靠性,以此作为识别人员或位置的一种手段。

在第一点上,似乎警察要求,检察官寻求(并由法院批准)州警察的搜查令,以回应发给一组从事追踪工作的政府和非政府人员的短信COVID,敦促会员大声疾呼有关政府隐藏和操纵有关佛罗里达州COVID疫情的信息。

这不仅是一次性的滥用:在其他情况下,我们已经看到“未经授权”访问被定为刑事犯罪,用于威胁调查我们所依赖工具的安全研究人员,起诉母亲假扮其女儿在社交网络上网络,威胁要设法抓取Facebook的记者以弄清它对我们的数据的处理方式,并起诉在公司计算机上进行不忠实工作的员工。 “未经授权”访问还被用来起诉我们的朋友亚伦·斯沃茨(Aaron Swartz),并威胁他数十年监禁,因为他从JSTOR数据库中下载了学术文章。面对这样的威胁,他自杀了。一条促使人们做正确的事情的短信怎么可能导致武装警察家庭袭击?令人遗憾的是,答案在于佛罗里达计算机犯罪法的模糊性和过分性,该法律与联邦计算机欺诈和滥用法中的语言十分相似(全国许多州的法律同样基于CFAA)。

该法律将计算机的``未经授权的访问''定为犯罪-严重的重罪。但这并没有定义“未经授权”的含义。在全国各地的案件中,在美国最高法院目前正在审理中的范布伦案中,我们已经看到,“授权”一词缺​​乏明确的定义和界限会造成巨大伤害。在这里,根据Rebekah Jones案中的宣誓书,警察采取了以下立场:向您不(或不再是)其中一部分的小组发送一条短信是“未经授权”使用计算机,因此一项值得武装家庭警察突袭的罪行。尽管有一个显而易见的事实,即人们收到一条消息敦促他们做正确的事,却没有造成任何伤害。

实际上,如果您曾经与家人共享密码或要求他人代表您登录服务,甚至在约会网站上谎称您的年龄,那么您很可能在某些情况下从事了“未经授权”的访问法院的解释。我们敦促最高法院在范布伦(Van Buren)案中裁定,违反使用条款(而不是克服技术限制)绝不能违反CFAA。这并不能完全解决法律问题,但可以消除一些最严重的滥用行为。

不过,即使对“未经授权”进行了更广泛的定义,也不清楚所涉及的短信是否属于犯罪。警方的宣誓书确认该文本组共享一个用户名和密码,甚至有人说该凭据是公开可用的。无论哪种方式,如果琼斯女士没有技术或其他方面的通知都不允许将消息发送到列表,那么很难看到文本是如何被“未经授权”的。然而,这片薄薄的芦苇被法院接受,作为琼斯女士家庭住宅搜查令的依据。

在第二点上,宣誓书表明,警方严重依赖邮件发件人的IP地址来寻求逮捕令,以将武装警察送往琼斯女士的家中。宣誓书没有说明警察如何将IP地址与实际地址连接起来,仅说明他们使用了“调查资源”。媒体报道称,Comcast(处理该IP地址的ISP)确实确认了琼斯女士是与该IP地址相关联的客户,但宣誓书中并未注明。在其他情况下,使用臭名昭著的不精确的公共反向IP查找工具会导致对错误房屋的袭击,有时甚至是多次袭击,因此,重要的是,警察向法院解释他们为确认地址所做的工作,而不仅仅是躲在后面“调查来源。”

EFF长期以来一直警告说,过度依赖IP地址作为犯罪嫌疑人的身份或位置的依据是危险的。警察常常将IP地址比作“指纹”,这是一种误导性比较,表明基于IP的身份比实际身份可靠得多,这使隐喻成为一种危险。当您考虑到这样一个事实时,隐喻真的就消失了:家庭网络使用的单个IP地址通常为具有多个不同数字设备的多个人提供Internet连接,从而很难确定特定的个人。在这里,警察确实告诉法院说,琼斯女士最近曾在佛罗里达州卫生局工作,因此IP地址不是法院面前唯一的事实,但对于家庭入侵令来说仍然很薄,而不是例如,一个简单的警察要求琼斯女士进来进行讯问。

即使事实证明佛罗里达警察在这种情况下是正确的-琼斯女士目前仍拒绝发送短信-我们其余的人应该担心,仅IP地址以及一些未公开的“调查资源”可能是允许武装警察进入您家的法官。它表明,在授权搜查令之前,法官必须仔细检查IP地址证据和执法机构对其可靠性的主张,以及其他支持证据。

此案证实了我们严重的,持续的全国性未能保护举报人的失败。在这种情况下-与爱德华·斯诺登(Edward Snowden),现实赢家,切尔西·曼宁(Chelsea Manning)以及许多其他人一样,很明显,保护举报人的一部分意味着更新了我们的计算机犯罪法律,以确保它们不能被用作检控过度和不当行为。我们还需要继续教育法官有关IP地址的不可靠性,因此,在授予搜查令之前,他们不仅需要警方模糊的结论,还需要更多的信息。

人们对计算机和数字网络的误解常常导致严重的司法不公。但是计算机和互联网将继续存在。我们已经过去很长时间了,以确保我们的刑法和程序不再依赖过时和不精确的词语(例如``授权'')和隐喻(例如``指纹''),而是在审议技术时采用严格的技术。